根据HackerOne周四发布的十大漏洞列表,跨站点脚本(XSS)仍然是影响力最大的漏洞,因此该漏洞在2020年连续第二年为白帽子黑客获得了最高的回报——2020年为黑客赢得了420万美元的漏洞赏金,比2019年增长了26%。
以下是2020年支付赏金最高的十大漏洞列表:
HackerOne维护着一个黑客发现的200,000个漏洞的数据库,根据该网站的数据,企业今年总共向白帽黑客支付了2350万美元的漏洞赏金,以解决所有这些漏洞。
除了排名第一的XSS,2020年最具影响力和赏金最高的十大漏洞类型还包括:不当访问控制、信息泄露、服务器端伪造请求(SSRF)、不安全的直接对象引用(IDOR)、特权升级、SQL注入、不正确的身份验证、代码注入和跨站点请求伪造(CSRF)。
根据HackOne的报告,2020年漏洞管理领域呈现五大趋势:
1. 组织正在使用创新工具来减少XSS
XSS漏洞非常普遍,很难消除,即使对于具有最成熟的应用程序安全性的组织而言。XSS漏洞通常嵌入在可影响生产管道的代码中,占所有报告漏洞的18%,但平均赏金仅为501美元。这意味着组织正在以非常低廉的价格缓解这种常见的漏洞。
2. 不当的访问控制和信息披露越来越普遍
不当访问控制赏金同比增长134%,达到400万美元以上。信息披露紧随其后,同比增长63%。
两种方法都公开了潜在的敏感数据,例如个人身份信息。如果敏感的客户或内部信息因配置错误的权限而泄漏,将是灾难性的。
这些漏洞非常普遍,因为使用自动化工具几乎无法检测到它们。黑客驱动的安全服务提供了一种相对便宜且极其有效的方法来缓解这些漏洞。
3. SSRF显示了云迁移的风险
SSRF(服务器端请求伪造)漏洞可被利用与外部第三方系统建立连接,发起恶意攻击并导致潜在的法律责任和声誉损失。
以前,SSRF漏洞不算严重,因为它们只允许内部网络扫描,有时还可以访问内部管理面板。但是,在数字化转型的时代,云架构和不受保护的元数据端点的出现使这些漏洞变得越来越危险。
4. SQL注入逐年下降
在过去的几年中,SQL注入是最常见的漏洞类型之一。但是,最新的数据表明,该漏洞的数量正逐年下降。
随着现代安全框架和方法的普及,该漏洞已经过气。当组织不监视哪些应用程序映射到数据库及其接口方式时,往往会发生SQL注入。通过向左转移安全性,组织可以利用黑客和其他方法来主动监视攻击面并防止错误输入代码。
5. 查找常见漏洞类型并不昂贵
在十大累积赏金最高漏洞类型中,只有不当访问控制服务器端请求伪造(SSRF)和信息披露发现是平均赏金奖励增加了10%以上。其他的平均值下降或几乎持平。
与传统的安全工具和方法不同,传统的安全工具和方法随着目标的改变和攻击面的扩大而变得更加昂贵和繁琐,而随着时间的推移,由黑客驱动的安全性实际上更具成本效益。对于黑客来说,防止不良行为者利用最常见的错误变得越来越便宜。
攻击者使用XSS漏洞来控制在线用户的帐户并窃取个人信息,例如密码,银行帐号,信用卡信息,个人身份信息(PII),社会安全号码等。据HackerOne称,尽管它们占所有报告的漏洞的18%,但实际上白帽黑客因发现这些漏洞而获得的平均赏金并不高。
研究人员指出,针对XSS漏洞的赏金奖励约为501美元,远低于针对关键漏洞的3,650美元的平均奖励,这使组织可以廉价地缓解常见的XSS漏洞。
确实,研究人员发现,漏洞越常见,发现和缓解该漏洞的酬劳就越少,组织付出的酬劳就越少。
下图为不同行业的平均漏洞赏金对比(平均赏金最高的TOP5行业分别是计算机软件、电子与半导体、加密货币与区块链、汽车与交通、互联网与在线服务):
HackerOne产品管理高级总监Miju Han指出:“寻找常见漏洞类型并不昂贵,”他指出,TOP10列表中的漏洞中只有三个——不当访问控制、服务器端请求伪造(SSRF)和信息泄露,平均赏金在一年中增加了10%以上。
这表明,相比采购和实施“传统安全工具和方法”,雇佣白帽黑客来嗅探漏洞成本上更有优势。因为传统的安全工具和方法随着防御目标的改变和攻击面的扩大而变得越来越昂贵和繁琐。
自动化无法取代白帽黑客
在2020年的十大赏金漏洞榜单中,不当访问控制从第9位上升至第2位,而一直稳居第3位的信息披露在漏洞赏金市场上变得更加有价值。
不当访问控制的奖励比去年同期增长了134%,略高于400万美元,而信息泄露的赏金则比去年同期增长了63%。
研究人员说,由于访问控制设计决策必须由人而不是技术来决定,因此出错的可能性很高。他们说,使用自动工具几乎也无法检测到这些漏洞,这凸显了白帽黑客在这个领域的价值。
确实,即使是那些不愿意提高产品安全透明度的大型科技公司,也开始对奖励白帽黑客的想法产生兴趣。例如过去12个月中,苹果公司Zoom和TikTok都推出了公开的漏洞赏金计划。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】